IG1 IG2 IG3

إنشاء وصيانة جرد تفصيلي لأصول المؤسسة

مجموعة الضابط: 1. جرد أصول المؤسسة والتحكم فيها

نوع الأصل: الأجهزة

وظيفة الأمان: تحديد

الوصف

إنشاء وصيانة جرد دقيق وتفصيلي ومحدث لجميع أصول المؤسسة التي لديها القدرة على تخزين أو معالجة البيانات، بما في ذلك: أجهزة المستخدم النهائي (بما فيها المحمولة والمتنقلة)، وأجهزة الشبكة، والأجهزة غير الحاسوبية/إنترنت الأشياء، والخوادم. التأكد من أن الجرد يسجل عنوان الشبكة (إذا كان ثابتًا)، وعنوان الجهاز، واسم الجهاز، ومالك أصل البيانات، والقسم لكل أصل، وما إذا كان الأصل قد تمت الموافقة على اتصاله بالشبكة. بالنسبة لأجهزة المستخدم النهائي المتنقلة، يمكن لأدوات من نوع MDM دعم هذه العملية عند الاقتضاء. يتضمن هذا الجرد الأصول المتصلة بالبنية التحتية ماديًا وافتراضيًا وعن بُعد وتلك الموجودة في البيئات السحابية. بالإضافة إلى ذلك، يتضمن الأصول المتصلة بانتظام بالبنية التحتية لشبكة المؤسسة، حتى لو لم تكن تحت سيطرة المؤسسة. مراجعة وتحديث جرد جميع أصول المؤسسة كل ستة أشهر أو بشكل أكثر تكرارًا.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Axonius Forrester Wave Leader, CAASM 2023

منصة إدارة سطح الهجوم للأصول السيبرانية توفر جرداً شاملاً للأصول عبر بيئات تقنية المعلومات والسحابة والبرمجيات كخدمة والتقنيات التشغيلية

Axonius · اشتراك مؤسسي

ServiceNow IT Asset Management Gartner MQ Leader, ITSM 2024

منصة إدارة أصول تقنية المعلومات المؤسسية وقاعدة بيانات إدارة التكوين مع الاكتشاف الآلي وإدارة دورة الحياة

ServiceNow · اشتراك مؤسسي

Lansweeper Gartner Peer Insights Customers' Choice, ITAM 2024

منصة اكتشاف وجرد أصول تقنية المعلومات تفحص الشبكات بحثاً عن الأجهزة والبرمجيات والأصول السحابية

Lansweeper · اشتراك لكل أصل

JupiterOne Forrester Wave Strong Performer, CAASM 2023

منصة سحابية أصلية لإدارة سطح الهجوم للأصول السيبرانية توفر الرؤية والسياق والحوكمة عبر جميع العمليات الرقمية

JupiterOne · اشتراك مؤسسي

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

استغلال أصول تقنية المعلومات الظلية

السرية

يخترق المهاجمون أجهزة غير مُتتبعة متصلة بالشبكة وغير مرئية لأدوات الأمان، ويستخدمونها كنقاط ارتكاز دائمة للتنقل الأفقي.

تغطية تصحيحات غير مكتملة بسبب أصول غير معروفة

التوفر

تبقى الثغرات الحرجة دون تصحيح على الأجهزة غير المدرجة في سجل الأصول، مما يسمح لبرامج الفدية أو الديدان بالانتشار عبر نقاط النهاية غير المُدارة.

عدم الامتثال التنظيمي بسبب مخازن بيانات غير مُتتبعة

السرية

توجد بيانات حساسة على أصول غير مسجلة في السجل، مما يؤدي إلى كشف معلومات التعريف الشخصية والمعلومات الصحية المحمية غير المحمية أثناء الاختراق وفرض عقوبات تنظيمية.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود رؤية مركزية للأصول

بدون سجل أصول مفصل، لا تستطيع المؤسسة تحديد النطاق الكامل للأجهزة التي تخزن أو تعالج البيانات، مما يترك نقاطاً عمياء في التغطية الأمنية.

سجلات أصول قديمة أو غير دقيقة

يعني غياب سجل محدث أن الأصول التي تم إيقافها أو نقلها أو إعادة تخصيصها لا يتم تتبعها، مما يخلق تناقضات بين الحالة المفترضة والفعلية للشبكة.

عدم القدرة على تحديد نطاق الاستجابة للحوادث

عند حدوث اختراق، لا يستطيع المستجيبون تحديد جميع الأصول المتأثرة المحتملة بسرعة، مما يطيل وقت البقاء ويزيد من نطاق تأثير الحوادث.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة أصول المؤسسة

Control 1

الإجراءات الوقائية ذات الصلة في الضابط 1

1.2 معالجة الأصول غير المصرح بها

1.3 استخدام أداة اكتشاف نشطة

1.4 استخدام تسجيل بروتوكول التكوين الديناميكي للمضيف (DHCP) لتحديث جرد أصول المؤسسة

1.5 استخدام أداة اكتشاف الأصول السلبية